Toate programele au erori sau defecte care cauzează probleme. Acestea variază de la probleme banale care nu afectează performanța software-ului în niciun fel major, până la vulnerabilități grave de securitate.
Bug-urile pot fi dificil de detectat, motiv pentru care multe companii de tehnologie au programe de recompensă pentru erori. Dar ce sunt exact programele de recompensă pentru erori? Cum funcționează și cum ajută la îmbunătățirea securității unui produs?
Cum funcționează programele Bug Bounty
Companiile lansează programe de recompense pentru erori pentru a stimula hackeri cu pălărie albă pentru a căuta găuri de securitate și vulnerabilități similare în software. În mod obișnuit, există un premiu în bani mai mult decât decent pentru cei care descoperă o eroare, oricât de nesemnificativă ar părea omului obișnuit.
Și nu doar companiile mici, în curs de dezvoltare, au programe de recompensă pentru erori. De fapt, majoritatea giganților tehnologiei le conduc, inclusiv Google, Microsoft, Facebook și Apple. Detalii despre aceste programe pot fi găsite de obicei pe site-ul oficial al unei companii. De cele mai multe ori, există mai multe niveluri sau categorii. Dar, în principiu, cu cât un bug este mai semnificativ, cu atât recompensa este mai mare.
Odată ce un hacker cu pălărie albă descoperă o eroare, trimit un raport detaliat de dezvăluire care explică ceea ce a găsit. Inginerii companiei examinează și investighează trimiterea și, dacă constatările cercetătorului se dovedesc a fi corecte și utile, aceștia sunt notificați și primesc o recompensă în bani.
Acest sistem funcționează atât pentru companii, cât și pentru cercetători independenți. Din perspectiva oricărei companii, este mai bine ca un hacker etic să descopere o eroare decât un actor de amenințare, care cel mai probabil ar continua să exploatează-l înainte de a fi remediat, care ar putea cauza pagube de milioane. Hackerii, pe de altă parte, fac o parte bună de schimbare participând la programele de recompense pentru erori – unii chiar câștigă venituri cu normă întreagă descoperind vulnerabilități software.
Exemple de programe Bug Bounty care îmbunătățesc securitatea software-ului
Este bine să știți cum funcționează teoretic programele de recompense pentru erori, dar să aruncăm o privire la câteva exemple reale de companii care plătesc sume masive hackerilor cu pălărie albă.
În cooperare cu platforma de recompense pentru bug-uri Immunefi, platforma descentralizată blockchain bridge Wormhole a lansat în februarie 2022 un program de recompense care oferă 10 milioane de dolari oricui descoperă o securitate critică gândac. Destul de curând, un hacker cu pălărie albă care folosea pseudonimul satya0x a descoperit unul. După cum a explicat Imunefi în a Mediu post, eroarea ar fi putut duce la blocarea fondurilor utilizatorilor, așa că satya0x a primit 10 milioane USD pentru dezvăluirea acesteia.
Tot în februarie 2022, schimbul de criptomonede Coinbase a plătit o recompensă de 250.000 USD unui cercetător independent pentru că a descoperit un defect major în interfața de tranzacționare a platformei.
Aurora Labs, compania din spatele mașinii virtuale Aurora Ethereum (ETH), a plătit o recompensă masivă de 6 milioane de dolari în aprilie 2022. Banii au fost alocați unui hacker etic cunoscut sub numele de pwning.eth, după ce a descoperit o vulnerabilitate care ar fi permis actorilor de amenințări să bată o rezervă infinită de criptomonedă Ethereum în Aurora motor.
Gigantul canadian al comerțului electronic ShopifyÎntre timp, și-a doborât propriul record în 2021, când plățile sale de recompense au totalizat 1 milion de dolari. În acel an, compania a primit un total de 3.000 de rapoarte de erori de la hackeri cu pălărie albă din întreaga lume. Ca răspuns, Shopify și-a mărit recompensa maximă la 100.000 USD.
Aceste cifre pot părea absurd de mari, dar chiar nu sunt în comparație cu suma de bani și de date pe care infractorii cibernetici ar putea altfel descoperind vulnerabilități. Wormhole a stabilit doar o recompensă de 10 milioane de dolari pentru bug-uri după ce a pierdut 320 de milioane de dolari din cauza unei încălcări. Aurora Labs a răsplătit un hacker cu pălărie albă pentru că 6 milioane de dolari sunt slabe în comparație cu pierderea de 240 de milioane de dolari în valoare de ETH, în timp ce Coinbase și Shopify au economisit probabil zeci de milioane compensând diligent cercetători.
Cele mai bune 5 programe de recompensă pentru erori cu plăți mari
Deoarece companiile economisesc o mulțime de bani prin înființarea de programe de recompensă pentru erori, există o serie de opțiuni din care cercetătorii pot alege. Dacă se întâmplă să fiți un hacker cu pălărie albă sau dacă doriți să deveniți unul, iată cinci programe de recompensă pentru erori foarte plătitoare de luat în considerare.
Apple Security Bounty este unul dintre cele mai populare programe de recompensă pentru erori din lume. Recompensele variază de la 5.000 USD pentru descoperirea vulnerabilităților ecranului de blocare la 2 milioane USD pentru găuri de securitate care ar permite unui actor de amenințare să ocolească Protecții în modul de blocare. Tot ce trebuie să faceți pentru a trimite un raport de eroare (care trebuie să fie amănunțit și detaliat) este să vă conectați cu ID-ul Apple.
Un alt program popular de recompense pentru erori este condus de Microsoft, care oferă o gamă largă de recompense. La fel ca cel al Apple, programul Microsoft este împărțit în zeci de categorii diferite. De exemplu, dacă descoperiți o vulnerabilitate în Microsoft. NET, vă puteți aștepta la o plată de până la 15.000 USD. Dar dacă descoperi unul în Microsoft Hyper-V, ați putea primi o recompensă de până la 250.000 USD.
Programul Samsung Rewards este centrat pe produsele mobile ale companiei. Are politici relativ stricte, așa că asigurați-vă că le citiți cu atenție înainte de a trimite o eroare. De asemenea, rețineți că doar bug-urile care afectează securitatea dispozitivelor Samsung sunt luate în considerare de inginerii companiei. Recompensele variază între 200 și 200.000 USD.
În programul de recompense Google Bug Hunters, recompensele ajung până la 30.000 USD. Vânătorii de erori, așa cum sunt adesea denumiți hackeri cu pălărie albă, pot raporta erori în Gmail, YouTube, BlogSpot și alte servicii Google. Acest program are o comunitate foarte activă și propria sa universitate online, care poate fi o resursă excelentă pentru cercetătorii începători.
Programul de recompense Meta acoperă Facebook, Instagram, WhatsApp, Messenger și o mulțime de alte produse. Pentru a fi luat în considerare pentru o recompensă (minimumul este de 500 USD), trebuie să găsiți vulnerabilități care prezintă un risc de securitate sau confidențialitate și care îndeplinesc cerințe clar definite. Toate rapoartele valide primesc un răspuns. Dacă mai mulți vânători observă aceeași problemă, recompensa este dată primei persoane care depune un raport.
Bug Bounty Programs: Cel mai bun din securitatea crowdsourced
Programele de recompense pentru erori reprezintă cel mai bun lucru al securității crowdsourced. Și nu doar companiile de tehnologie și cercetătorii în domeniul securității cibernetice beneficiază de ele, ci toată lumea, inclusiv consumatorii.
Pentru unii, vânătoarea de insecte este un hobby, iar pentru alții o carieră cu drepturi depline. Dacă te încadrezi în această din urmă categorie, sau la care aspiră, există o mulțime de cursuri online care merită să te uiți.